Undang-Undang Perlindungan Data Pribadi, UU PDP, disahkan pada 2022 dengan masa transisi dua tahun. Masa transisi itu berakhir Oktober ini. Sejak saat itu, kepatuhan UU PDP bukan lagi urusan masa depan yang bisa ditunda ke siklus perencanaan tahun depan. Aturan ini sudah bisa ditegakkan sekarang, dan bisnis-bisnis yang saya ajak bicara terbagi menjadi dua kubu: yang diam-diam sudah membangun inventaris data selama setahun terakhir, dan yang baru sadar minggu ini bahwa "kepatuhan" itu punya makna spesifik dan bisa diuji.
Saya bukan pengacara, dan ini bukan nasihat hukum. Yang bisa saya tawarkan, setelah lima belas tahun membangun sistem yang benar-benar menyimpan data pelanggan untuk rantai ritel, perusahaan pembiayaan, dan bisnis jasa di Indonesia, adalah gambaran praktis tentang apa yang akan pertama kali diperiksa regulator dan auditor. Sebagian besar UKM tidak butuh departemen kepatuhan. Mereka butuh empat hal dikerjakan dengan benar, dan saya akan bahas satu per satu.
Bisnis yang paling rentan adalah yang mengumpulkan data pelanggan sebagai efek samping dari menjalankan bisnis, program loyalitas di sini, alamat pengiriman di sana, KTP yang di-scan untuk perjanjian layanan, tanpa pernah mencatat di mana semua itu tersimpan. Itulah celah yang coba ditutup oleh kepatuhan UU PDP.
Mulai dari Inventaris Data, Bukan Dokumen Kebijakan
Hampir semua panduan kepatuhan UU PDP memulai dengan menyusun kebijakan privasi. Lakukan itu belakangan. Kebijakan privasi yang Anda tulis sebelum tahu data apa yang sebenarnya Anda pegang adalah fiksi, dan fiksi lebih buruk daripada diam saat auditor meminta Anda membuktikannya.
Habiskan satu minggu untuk memetakan hal berikut:
- Data pribadi apa yang Anda kumpulkan (nama, nomor telepon, alamat, nomor identitas, detail pembayaran, data lokasi)?
- Di mana data itu tersimpan (spreadsheet, sistem POS Anda, CRM, hasil ekspor chat WhatsApp, dashboard cloud milik vendor)?
- Siapa di dalam bisnis Anda yang bisa mengaksesnya, dan siapa di luar (payment processor, mitra pengiriman, agensi marketing)?
- Berapa lama Anda menyimpannya, dan apakah ada yang benar-benar menghapusnya?
Saya baru-baru ini melakukan latihan ini bersama sebuah rantai ritel di Tangerang. Mereka mengira data pelanggan mereka tersimpan di satu aplikasi loyalitas. Kenyataannya tersimpan di empat tempat: aplikasi loyalitas, Google Sheet yang dipakai tim marketing untuk blast WhatsApp, hasil ekspor POS lama yang tidak tersentuh selama dua tahun, dan dashboard vendor SMS pihak ketiga. Tidak ada unsur kesengajaan di sana. Itu hanya sprawl yang lumrah terjadi di UKM, dan justru itulah yang seharusnya diungkap oleh sebuah inventaris data.
Persetujuan Harus Spesifik, Bukan Terselip di Balik Teks
UU PDP mensyaratkan bahwa persetujuan harus diinformasikan dan spesifik untuk tujuan tertentu. Centang blanket seperti "dengan menggunakan aplikasi ini Anda setuju dengan syarat dan ketentuan kami", yang ditulis sekali dan tidak pernah ditinjau ulang, tidak akan cukup kuat secara hukum. Jika Anda mengumpulkan nomor telepon untuk konfirmasi pesanan lalu menggunakannya untuk SMS marketing enam bulan kemudian, itu adalah tujuan kedua yang memerlukan dasar pemrosesan tersendiri.
Minimum praktis untuk kebanyakan UKM:
- Nyatakan dengan jelas, pada titik pengumpulan data, untuk apa data itu akan digunakan.
- Pisahkan persetujuan operasional (memproses pesanan) dari persetujuan marketing (mengirim promosi). Jangan digabung.
- Beri pelanggan cara nyata untuk menarik persetujuan mereka, dan hormati itu dalam waktu yang wajar, bukan "nanti kapan-kapan".
Ini bukan soal redaksi hukum. Ini soal apakah formulir Anda, alur checkout Anda, dan pesan opt-in WhatsApp Anda benar-benar sesuai dengan apa yang Anda lakukan terhadap data tersebut setelahnya.
Tunjuk Seseorang yang Bertanggung Jawab atas Respons Kebocoran Data
Undang-undang tidak mewajibkan setiap UKM merekrut Data Protection Officer, tetapi tetap mengharapkan ada seseorang yang bertanggung jawab ketika terjadi masalah. Jika vendor database Anda mengalami kebocoran, atau laptop karyawan yang berisi ekspor data pelanggan hilang dicuri, siapa di perusahaan Anda yang mengambil keputusan soal waktu notifikasi dan komunikasi ke pelanggan?
Tuliskan, dalam satu halaman:
- Siapa yang pertama kali diberi tahu secara internal.
- Vendor atau kontak teknis mana yang menyelidiki cakupan masalah (di sinilah biaya tersembunyi dari sistem legacy sering kali terasa paling menyakitkan, karena sistem lama lebih sulit diaudit saat dalam tekanan).
- Template untuk memberi tahu pelanggan yang terdampak dan regulator, disusun dengan tenang sekarang, bukan dalam kepanikan nanti.
Satu halaman ini, ditinjau dua kali setahun, jauh lebih berharga daripada binder kepatuhan yang tidak pernah dibaca siapa pun.
Audit Kontrak Vendor Anda
Sebagian besar kegagalan kepatuhan UU PDP yang saya perkirakan akan terjadi tahun ini tidak akan berasal dari dalam bisnis yang meminta bantuan. Kegagalan itu akan berasal dari vendor: gateway SMS, penyedia cloud hosting, developer freelance yang membangun database pelanggan Anda tiga tahun lalu dan masih memegang kredensial admin.
Ambil setiap kontrak yang melibatkan pihak ketiga yang menyentuh data pelanggan, dan periksa dua hal: apakah kontrak itu menyebutkan bagaimana vendor tersebut boleh menggunakan data, dan apakah kontrak itu mewajibkan mereka memberi tahu Anda jika terjadi kebocoran di pihak mereka. Jika klausul itu tidak ada, Anda tetap terekspos risiko sebesar apa pun kehati-hatian Anda secara internal. Ini disiplin yang sama dengan perencanaan exit vendor yang baik: tahu persis apa yang keluar dari kendali Anda dan dengan syarat seperti apa.
Berapa Sebenarnya Biayanya
Untuk UKM pada umumnya, biaya sebenarnya dari kepatuhan UU PDP bukan biaya hukum. Biaya sebenarnya adalah waktu engineering untuk mengkonsolidasikan data yang berserakan ke dalam sistem yang lebih sedikit dan lebih mudah diaudit, serta waktu manajemen untuk menulis dua atau tiga dokumen governance di atas. Bisnis yang pernah saya tangani biasanya menganggarkan sekitar lima belas hingga empat puluh juta rupiah untuk pembersihan awal, sebagian besar dihabiskan untuk konsolidasi data dan perbaikan kontrol akses, bukan untuk pengacara.
Bisnis yang memperlakukan ini sebagai formalitas centang kotak, membeli template kebijakan privasi lalu menganggap urusan selesai, adalah yang akan kesulitan saat pelanggan mengajukan komplain dan regulator meminta melihat alur data yang sebenarnya. Hukum ini peduli pada substansi, bukan dokumen di atas kertas.
Mulai dari Mana Minggu Ini
Kerjakan inventaris data terlebih dahulu. Ini tidak memakan biaya, hanya waktu, dan akan memberi tahu Anda seberapa besar masalah sebenarnya sebelum Anda mengeluarkan satu rupiah pun untuk perbaikan. Sebagian besar UKM yang pernah saya bimbing lewat proses ini menemukan bahwa celahnya lebih kecil dan lebih terkonsentrasi dari yang mereka takutkan, biasanya di dua atau tiga sistem, bukan dua puluh.
Jika inventaris ini menemukan data yang berserakan di berbagai sistem yang memang tidak pernah dirancang untuk saling terhubung, itu adalah masalah sistem sebelum menjadi masalah hukum, dan layak untuk mendapatkan pandangan dari pihak luar. Jika Anda ingin opini kedua soal di mana sebenarnya letak eksposur risiko Anda, hubungi kami lewat partner dan kita bisa membahasnya bersama.